提要:此篇文章主要总结Web安全学习中需要学习的Web漏洞及掌握漏洞需要必备的基础知识,整体会作为后续学习的提纲。
Web漏洞分为两类:客户端和服务端漏洞。
客户端漏洞:
CSRF(跨站请求伪造):
SSRF:
XSS(跨站脚本攻击)
服务端漏洞:
SQL注入:
原理:前端提交的参数值是恶意SQL语句,后端未进行过滤,被代入后端SQL语句中查询,并在数据库中执行。前后端未对参数值进行限制。
目录遍历:
文件读取:
命令执行:
XXE安全:
文件上传
原理:文件上传位置对上传的文件类型未进行过滤或过滤不严。
文件包含
反序列化
代码执行
逻辑安全
未授权访问
综上所观:
Web安全中,服务端的漏洞还是占全部漏洞的绝大部分,所以整体需要学习以下知识:
前端:HTML基础,CSS基础,JAVASCRIPT(重要)
数据库:SQL语言基础(重要),ACCESS,MYSQL(常用),SQLSERVER,ORACLE等
中间件配置:IIS,Nginx,Tomcat等
脚本语言:PHP基础,Python基础等脚本语言
网络:HTTP协议(重要),TCP/IP等
操作系统:Linux和Windows常见配置
攻防工具:BurpSuite,SqlMap,Awvs等